觀點在開始之前,筆者先帶各位讀者回到古時候的場景。 在安全體系設計中,有一個非常重要的概念應用,那就是安全四階(Security 4D''s)。分別為:嚇阻(Deter)、偵測(Detect)、阻延(Delay)、禁制(Deny)四階段。這基本邏輯同時適用於實體安全和資訊安全管理系統上。
1(A). 1 下列哪些為應用於資料庫的加密方式?(1)DBMS 組態加密、(2)資料 庫加密、(3)資料庫檔案加密、(4)網路傳輸加密。 2(D). X 2 一般採用的約定方式中,列出雙方將要一起達成的協定,稱為? 3(A). X 3 關於資訊安全管理標準,下列何者正確? 4(B). X 4 下列哪一個資訊安全問題的發生,與 Web 應用中的安全漏洞比較有關? 5(B). 5 關於資料庫管理的敘述,下列何者有誤? 6(A,B,C,D). X 6 下列哪些屬於資訊安全管理循環中,在「檢查」階段進行的工作?(複選) 7(A). 7 在擁有原有加密金鑰的文件下,下列關於加密敘述何者為真? 8(A,C). X 8 就資訊安全而言,下列敘述哪些有誤?(複選) 9(A). 9 在電子商務中,下列敘述何者有誤? 10(A,B). X 10 下列哪些是保護線上付款的技術?(複選) 11(A). X 11 遇到電子商務的標錯價糾紛時,下列哪一項規範是處理這類事件的主要依 據? 12(A,C). X 12 資料庫管理作業中,受保護內容的傳輸可以採取哪幾種方式?(複選) 13( ). X 13 下列對於資訊安全管理系統之描述,哪些為真?(複選) 14( ). X 14
下列何者是資訊安全管理系統驗證的國際標準? 15( ). X 15 下列對於資訊安全政策的描述,哪些為宜?(複選) 16( ). X 16 下列宣導資訊安全政策的方式,何者較不適宜? 17( ). X 17 下列哪些是宣導資訊安全政策宜注意的事項?(複選) 18( ). X 18 下列對於保密協議的描述,哪些為宜?(複選) 19( ). X 19 下列哪些為電子商務種類之常用代號?(複選) 20( ). X 20 資訊安全管理之 PDCA 管理架構之『Do(執行)』工作內容為下列何者? 21( ). X 21 有關資訊安全的敘述,哪些是正確的?(複選)
22( ). X 22 系統、服務或網路發生一個已識別的狀態,其指示可能的資訊安全政策違 例或保護措施失效,或是可能與安全相關而先前未知的狀況等。前述定義 稱之為何? 23( ). X 23 下列何者不屬於資訊安全管理循環中,在「執行」階段進行的工作? 24( ). X 24 不斷複製自己,經網路四處傳播,癱瘓系統與網路的惡意程式為下列何 者?
25( ). X 25 下列何者不屬於保護帳號、通行碼(password)安全的措施? 26( ). X 26 通常是藉由人性的弱點來達成目的,攻擊者會誘使使用者洩漏帳號、通行 碼(password)等資訊。前述攻擊屬於何種攻擊? 27( ). X 27 下列何者選項中的裝置皆屬於網路安全裝置? 28( ). X 28 組織礙於資源因素而無法全面實施 ISMS 時,應從下列何項先開始? 29( ). X 29 下列敘述何者有誤? 30( ). X 30 工程師建構三層式的電子商務系統,優點為何? 31( ). X 31 資訊安全管理要素中的完整性(integrity)是指下列何者? 32( ). X 32 下列哪些是組織識別其各項安全要求之要項?(複選) 33( ). X 33 使用非對稱加密機制來秘密傳送訊息給對方,應該如何進行? 34( ). X 34 確保資料的完整性與私密性,並預防非法入侵者的破壞,是屬於下列哪一 項? 35( ). X 35 下列哪一項不屬於資訊安全管理的範疇? 36( ). X 36 根據世界經濟合作開發組織(Organization for Economic Corporation and Development,
OECD)在 2001 年會議中對資訊安全目標的描述為「確保 仰賴資訊系統上的各種利益,避免傷害而導致機密性(Confidentiality)、 真確性或完整性(Integrity)及下列哪一項的失能」? 37( ). X 37 Java Card 是一種標準的智慧卡片,智慧卡片在當今網路安全應用最重要 的三個特點有哪些?(複選) 38( ). X 38 電子商務交易環境中,在「不可否認性」的安全需求上,其安全目的要做 到確認交易的真實性,在安全機制方面應做到何種程度? 39( ). X 39 電子文件保護機制除了須滿足機密性、完整性、鑑別性、不可否認性等資 訊安全目標外,尚須兼顧下列哪些具實務應用的需求?(複選) 40( ). X 40 目前資料庫管理系統對於安全機制都提供完善的保障,而有效地提供使用 者登入控管機制是屬於哪一方面的安全考量? 41( ). X 41 因應實務的需求,資訊安全管理系統(ISMS)顯得其重要性,請問下列哪 一項不屬於 ISMS 的步驟範圍? 42( ). X 42
在資訊安全管理循環裡,下列哪一項內容是依據管理階層之審查結果採取 矯正與預防措施,以達成持續改進 ISMS? 43( ). X 43 下列何者不屬於資訊安全管理相關之標準與規範? 44( ). X 44 企業組織從事營運的相關活動,應考量符合適法性的要求,此要求之來源 涵蓋法律、標準、法令、法規、合約等,上述要求較適合之名稱為何? 45( ). X 45 在網路上的虛擬世界中,可以使用數位憑證來識別與驗證對方的身分,其 作用類似於真實生活中的身分證,而一般常用的數位憑證採用之標準為 X.509 第三版(也稱為 X.509 v3),如:自然人憑證、工商憑證等,請問 X.509 v3 憑證的欄位包含下列哪些?(複選) 46( ). X 46 稽核由稽核組織的來源進行區分,可將稽核活動分為三類:第一方稽核、
第二方稽核與第三方稽核,請問下列何者為第三方稽核? 47( ). X 47 某系統一年當機 20 小時,請問此系統之可用性位於下列何者區間? 48( ). X 48 資料庫之加密包含下列哪些層面?(複選) 49( ). X 49 依電子商務之特性,其資訊安全之目標除機密性、完整性及可用性外,還 必須特別考慮下列哪些資訊安全目標?(複選)
50( ). X 50 下列何項措施不會增進資料庫之安全? 51( ). X 51 下列何者不是處理資訊安全風險的作法? 52( ). X 52 下列哪些是資訊安全風險分析的工具?(複選) 53( ). X 53 資訊安全風險評估表格不會包含以下哪一項內容? 54( ). X 54 資訊安全風險處理的考量包含下列哪些項目?(複選) 55( ). X 55 適用性聲明書不包含下列哪一個項目? 56( ). X 56
下列哪些是資產可能的威脅來源?(複選) 57( ). X 57 下列對於威脅的描述哪些是正確的?(複選) 58( ). X 58 下列對於風險評鑑時鑑別資產價值的描述,何者有誤? 59( ). X 59 下列對於風險評鑑時,決定可接受風險等級的描述,何者為非? 60( ). X 60 下列何者屬於環境的威脅? 61( ). X 61 機房設置所在位置,下列何者較為適宜? 62( ). X 62 風險評鑑的整體對象包含範圍為何? 63( ). X 63 考慮購買適當的保險,作為整體營運持續流程的一部分,亦作為風險管理 策略,稱為下列何者? 64( ). X 64 下列對於資安事件之描述何者正確? 65( ). X 65 SQL Injection
攻擊包括下列哪些手法?(複選) 66( ). X 66 下列何者不是評估資訊安全風險等級的面向? 67( ). X 67 下列何者是分析資訊安全風險的內容? 68( ). X 68 下列敘述哪些為真?(複選) 69( ). X 69 決定資訊安全風險措施後,要產生何種文件? 70( ). X 70
下列何者不屬於環境的威脅? 71( ). X 71 下列敘述何者為非? 72( ). X 72 選課系統的重要性與選課期間有關,當選課期間結束且不再選課時,此時 的選課系統具備哪些特性?(複選) 73( ). X 73 在執行風險評鑑作業前,蒐集的資產通常都會進行適當的分類,其主要目 的為何? 74( ). X 74 以下哪些選項為資安可能的威脅?(複選) 75( ). X 75 風險評鑑時,所評估出來的風險等級與可接受風險等級的關係描述,何者 為非? 76( ). X 76 下列對於執行風險處理的描述,何者為非? 77( ). X 77 資訊資產處於外在威脅越多的環境,則下列何者正確? 78( ). X 78 下列敘述哪些正確?(複選) 79( ). X 79 鑑別、定義與評估組織資產所面對的威脅、弱點及其風險值稱為: 80( ). X 80 下列敘述哪些正確?(複選) 81( ). X 81 下列敘述何者錯誤? 82( ). X 82 下列敘述哪些錯誤?(複選) 83( ). X 83 下列對於執行風險評鑑時,鑑別威脅與弱點的描述何者有誤? 84( ). X 84 下列對於資產弱點的描述,何者有誤?
85( ). X 85 風險管理過程中有四個步驟,除了風險處理外,尚有哪三項?(複選) 86( ). X 86 在傳統紙張作業的時代,業務上的資訊(如報價單): 87( ). X 87 依據行政院研究發展考核委員會之「風險管理手冊」的風險管理架構,建 立風險管理執行背景體系不包括下列哪一項? 88( ). X 88 ISO 27001 所規定的營運持續管理,期望企業藉由什麼模型做不斷持續的 修正,讓組織得以因應外部環境之變化,其中包含人為與天然災害的威脅 為下列哪一項模型? 89( ). X 89 資訊安全風險管理過程之第 1 個步驟為何? 90( ). X 90 有關風險敘述,下列哪些錯誤?(複選) 91( ). X 91 有關風險敘述,下列哪些正確?(複選) 92( ). X 92 關於惡意程式,下列敘述哪一個正確? 93( ). X 93 攻擊者從網路中截取使用者登入之驗證資訊,稍後再將截取之資訊送往其 登入的伺服器,以冒名該資訊的原始送出者進行登入。請問為下列何種攻 擊? 94( ). X 94 比較定量(Quantitative)與定性(Qualitative)之風險分析,下列哪些正 確?(複選) 95( ). X 95
下列技術脆弱性之測試方法中,何者是最詳盡之脆弱性評鑑方法? 96( ). X 96 風險處理選項的選擇不宜植基於下列何者項目? 97( ). X 97 關於控制措施的成本效益分析,下列哪些敘述正確?(複選) 98( ). X 98 關於風險轉移,下列哪些敘述正確?(複選) 99( ). X 99 完整規劃及持續維持之營運持續計畫(Business Continuity Plan, BCP),可 以讓企業組織獲致下列哪些效益?(複選) 100( ). X 100 社交工程威脅中,最常見的手法為何? |